• Das Erstellen neuer Accounts wurde ausgesetzt. Bei berechtigtem Interesse bitte Kontaktaufnahme über die üblichen Wege. Beste Grüße der Admin

Ist .htaccess zu umgehen?

jonas_kl

jonas_kl

Lounge-Member
Halihalo, liebe JSwelt-community!

Nach über einem Monat inactivity bin ich jetzt mal wieder online. *froi*
Und ich hab auch gleich ein ernstes Problem mit meiner Webseite:

Ich hab eine Bildergalerie, mit öffentlichen und nichtöffentlichen Fotos.
Die nichtöffentlichen Fotos sind durch eine .htaccess-Datei geschützt:

Code: 
# .htaccess-Datei
AuthType Basic
AuthName "Login (für special members)"
AuthUserFile /home/www/htdocs/jk-art.de/galerie/.htusers
require user admin 
require user betzler
require user gruendl
require user gassner
require user laemmermann
require user kanzler
require user krueger
# usw...

Ich dachte eigentlich immer, dass ist sicher, so lange keiner sein Passwort weitergibt.

Aber gestern hab ich erfahren, dass es Leute aus der Schule geschafft haben,
ohne Hackertools die Login-Abfrage zu übergehen. Wie ist das möglich?

Meine Serverdaten: http://www.jk-art.de/phpinfo.php

Jonas
 
Ich vermute mal die können gut raten, bzw. Deine Passwörter sind nicht sonderlich "sicher".

Ansonsten bietet sich noch die Möglichkeit, dass Du auf Deiner Seite ein unsicheres PHP Script hast, welches dazu genutzt werden kann in die geschützten Verzeichnisse ohne direkte URL hineinzukommen. z.B. http://url/index.php?file=bla.php mit include ($file) in index.php ist sehr leichtsinnig, kann man daraus doch auch http://url/index.php?file=../geschuetzterBereich/index.php machen und man bekommt alles einfach so angezeigt, da der Browser nicht wirklich in den geschützten Bereich eindringt, diese Arbeit macht der Server schon.....
 
Also ich hab mich bemüht die Passwörter möglichst sicher zu machen: Jedes PW ist zwischen 5 und 8 Zeichen lang und enthält Buchstaben so wie Zahlen.
Aber natürlich kann man ein Passwort heraus bekommen, da schon die Buchstaben-Zahlen-Reihenfolge nach dem immergleichen Schema vergeben ist.
Und der username ist einfach der Nachname des Users. Aber ich denke trotzdem, dass es ein paar zehntausend Versuche sind, bis man die richtige Kombination hat.

Ich weiß um das Risiko solcher Scripte - darum habe ich sie eigentlich auch vermieden.

Was ich gehört habe ist, dass der/die "Hacker" einfach über den Explorer des Windoof2000-Systems an die Bilder gekommen sind. Wie ist so was möglich?

Jonas
 
also ich denke nicht das das so einfach möglci hist...also entweder verar*** die dich und waren nciht drauf, oder es war so wie Albu sagt...generell kann das nciht an dem htaccess schutz liegen...sonst wäre die Lücke sichelrich bekannt...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben